太古观察:从《数据安全法》谈企业的数据安全合规
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”)。《数据安全法》是我国数据安全领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起实施。
一、《数据安全法》的适用范围 根据《数据安全法》第二条,《数据安全法》适用于在我国境内开展的数据处理活动及其安全监管。
二、明确数据分类保护制度 《数据安全法》第二十一条规定,国家根据数据在经济社会发展中的重要程度,建立数据分类保护制度,对于关系到国家安全、重要民生、重大公共利益的这类核心数据,应实行更加严格的管理制度。各地区和部门应建立本地区、本部门和本行业的重要数据具体目录,并对列入目录的数据进行重点保护。
回顾《数据安全法》的立法过程,我们不难看出,数据分类保护这一概念一直贯穿其立法过程。在《数据安全法》一审稿中,就已经提出“根据数据在经济社会发展中的重要程度,对数据实行分类保护”的要求,但并未进一步详细说明。
在二审稿中,明确提出了“国家建立数据分类分级保护制度”,并在数据分类分级保护制度基础上,又专门规定了对重要数据的保护条款。
因此,国家核心数据目录以及各部门行业及地区的重要数据目录建设工作,将是《数据安全法》在未来的重要配套建设工作。
三、《数据安全法》对数据出境的相关要求 数据出境安全一直是我国数据保护领域中立法与执法工作的重点。《网络安全法》《个人信息保护法》(二审稿)都分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求,但相关具体细则尚未明确。
此次《数据安全法》也明确了我国对于促进数据跨境安全、自由流动的态度,同时也给出了关于数据跨境流动的明确规定,规定包括:
1.对于维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制; 2.对于与数据开发等有关的投资和贸易的政策形势,我国采取与其他国家或者地区相对等的措施; 3.关键信息基础设施运营者的信息出境适用《网络安全法》的规定,其他数据处理者的信息出境,由国家网信部门会同国务院有关部门制定; 4.对于外国司法或者执法机构要求我国提供数据的请求,我国主管部门将根据有关法律以及我国所参加或者缔结的国际条约等,按照平等互惠原则处理;未经主管部门批准,任何个人和组织不得提供该数据。
从整体上看,我国正在积极开展并促进数据领域的国际交流与合作,且按照数据分类对于不同数据采取相应的出境管理政策。在《数据安全法》实施之后,相关企业需要特别关注数据的出境合规工作。
四、促进政务数据开放,提升数据服务社会发展的能力 有序地公开政务数据,可以提高政务办理效率,提升数据服务经济社会发展的能力。《数据安全法》第五章明确了与政务数据开放和安全有关的事项。其规定了国家机关应当建立数据开放目录,构建统一规范、互联互通、安全可靠的政务数据平台,并遵循公正、公平、便民的原则,及时准确地公开可以公开的数据。
同时,国家机关还需要建立健全数据安全管理制度,保障政务数据的安全,尤其在诸如委托他人建设和维护相关系统和数据时,应当经过严格的批准程序,并严格监督受托方履行相应的数据保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
五、对相关企业的数据合规建议 在《数据安全法》即将实施的这段时间,我们建议相关企业,特别是金融领域的企业提前做好数据合规的准备工作,以避免发生数据安全领域的合规问题。
对于企业数据合规管理,我们建议如下:
1.设立专门的数据安全管理部门 设立专门的数据安全管理组织,建立企业内部的工作机制、协调机制、议事机制和监督调查机制,可以帮助企业全面开展数据合规工作。
2.制定企业内部的《数据安全管理细则》 企业应根据自身业务特点和相关法律法规,制定企业内部《数据安全管理细则》。通过内部的《数据安全管理细则》,企业可以明确自身对于数据保护的要求和体系建设工作,并建立详细的数据分类标准及保护目录,以及明确不同职能部门的相关义务。
3.建立统一的数据共享平台 对于需要向第三方提供数据的企业,应建立统一且唯一的数据共享平台,并通过保密协议的方式来约定第三方企业的数据保密义务。
我们的观察 我们认为,《数据安全法》的出台对各类企事业单位的数据合规工作起到了指导性的作用。金融、电信、互联网平台等行业更应该根据《数据安全法》,结合自身及行业特点开展更为全面的数据安全合规工作。
《数据安全法》在实施后,仍需要通过更多配套细则来保障其落地实施,在配套细则的制定上,仍需要考虑与诸如《网络安全法》和制定中的《个人信息保护法》等一系列法律法规相结合,以形成较为完整的数据保护法律体系。对此,我们将保持关注。阅读更多